GDPR2DSM-webinaarien antia: Tietosuojaviranomaisten antamat seuraamusmaksut
Digitaaliset prosessit

GDPR2DSM-webinaarien antia: Tietosuojaviranomaisten antamat seuraamusmaksut

Autamme pk-yrityksiä huolehtimaan tietosuojasta. Webinaareissa käsittelemme tietosuojaa pk-yritysten arjen, eri toimialojen sekä palveluiden kehittämisen näkökulmista.

GDPR2DSM-hanke järjesti joulukuun alussa toisen yhteistyöwebinaarin Ohjemisto- ja e-business ry:n kanssa. Webinaarin aiheena oli tietosuojaviranomaisten määräämät seuraamusmaksut Suomessa ja maailmalla. Seuraamusmaksuista olivat puhumassa tietosuojavaltuutetun toimiston ylitarkastajat Laura Varjokari ja Meeri Blomberg sekä HPP Asianajotoimiston osakas Terho Nevasalo.

Pysäköintivalvontayhtiö ei ollut toteuttanut rekisteröityjen oikeuksia  

Webinaarisarjan ensimmäisessä osuudessa Laura Varjokari kertoi tietosuojavaltuutetun toimiston huhtikuussa antamasta ParkkiPate Oy:tä koskevasta päätöksestä. Puheenvuorossa käytiin läpi seuraamusmaksun määräämiseen johtaneita rikkomuksia ja sakon arvioinnissa huomioon otettuja raskauttavia ja lieventäviä tekijöitä.  

Seuraamusmaksua koskeva ratkaisu perustui yhteentoista tietosuojavaltuutetun toimistossa vireille saatettuun asiaan. Pysäköinninvalvontayhtiö oli muun muassa kieltäytynyt rekisteröityjen oikeuksien toteuttamisesta ja kerännyt tunnistamista varten tarpeettomia tietoja. Joissakin tapauksissa rekisteröidyille oli aiheutunut rikkomuksista pysäköinninvalvontamaksun suuruinen taloudellinen vahinko.  

Seuraamuskollegio oli pitänyt yleisen tietosuoja-asetuksen tarkastusoikeuden rikkomista vakavana. Seuraamuskollegio oli katsonut, että rekisterinpitäjä oli estänyt tarkoituksellisesti pääsyn tietoihin, jotka saattoivat olla maksajaksi merkityn henkilön oikeusturvan kannalta olennaisia.   

Ammattikorkeakoulu oli kerännyt työsuhteen kannalta tarpeettomia tietoja 

Tietosuojavaltuutetun toimiston toisessa puheenvuorossa Meeri Blomberg käsitteli ammattikorkeakoululle määrättyä seuraamusmaksua. Ammattikorkeakoulu oli ottanut käyttöön työajanseurantaan varten mobiilisovelluksen, joka edellytti toimiakseen työntekijöiden sijaintitietojen keräämistä.  

Tietosuojavaltuutetun toimisto oli selvittänyt, oliko rekisterinpitäjällä laillinen peruste käsitellä työntekijöiden sijaintitietoja työaikaleimausten yhteydessä. Rekisterinpitäjän mukaan se ei hyödyntänyt sijaintia koskevaa tietoa millään tavalla ja työajan seuranta olisin voitu saadun selvityksen perusteella suorittaa tarvittaessa myös ilman sijaintitiedon käsittelyä.   

Päätöksessä todettiin, että sijaintitietojen kerääminen oli ollut työelämän tietosuojalain tarpeellisuusvaatimuksen vastaista. Pelkästään se seikka, että työaikaa koskevien leimausten tekeminen ei onnistunut sovelluksessa ilman sijaintitietojen käsittelyä, ei tehnyt niiden käsittelystä välittömästi tarpeellista siten kuin työelämän tietosuojalaissa säädetään. Koska käsittely ei ollut tarpeellista työelämän tietosuojalain nojalla, sitä ei voitu pitää tarpeellisena ja lainmukaisena myöskään yleisen tietosuoja-asetuksen nojalla.  

Ennakkotapauksia Euroopasta 

Terho Nevasalo kävi puheenvuorossaan läpi Irlannin tietosuojaviranomaisen luottotietoyhtiölle Irish Credit Bureaulle antamaa seuraamusmaksua. Asiassa oli kyse ohjelmointivirheen aiheuttamasta tietoturvaloukkauksesta.  

Irlannin tietosuojaviranomainen katsoi ratkaisussaan, että yritys ei ollut toteuttanut riittäviä toimenpiteitä tietojen täsmällisyyden varmistamiseksi.  

Toinen Nevasalon esittelemä tapaus koski ruokalähettiyhtiö Deliveroota. Italian tietosuojaviranomainen oli antanut yritykselle seuraamusmaksun muun muassa automaattista päätöksentekoa ja rekisteröityjen informointia koskevista rikkomuksista.  

Tietosuojavaltuuteun toimiston, TIEKEn ja EU:n logot

Tämän julkaisun sisältö edustaa vain kirjoittajan näkemyksiä ja tekijä on niistä yksin vastuussa. Euroopan komissio ei ole vastuussa tämän julkaisun sisältämän aineiston käytöstä.

Kirjoittaja

Lue seuraavaksi

Vastuullisuus
Tietosuoja harrastuksissa -sivusto yhdistyksen tukena
Vastuullisuus

Tietosuoja harrastuksissa -sivusto yhdistyksen tukena

Tietosuojan varmistaminen saattaa yhdistyksissä tulla helposti tyrmätyksi työläänä, hankalana ja epäselvänä. Oikein hoidettu tietosuoja ei kuitenkaan ole vain lakisääteinen velvoite, vaan se auttaa yhdistystä toimimaan selkeästi ja turvallisesti. Tietosuoja harrastuksissa -sivusto tarjoaa käytännönläheisiä työkaluja ja ohjeita, joiden avulla yhdistyksen hallitus voi varmistaa, että tietosuoja on hoidettu asianmukaisesti.

Timo Simell
Timo Simell
Digikyvykkyys
ICT-konsultoinnin tekijänoikeus – tunnetko yleisimmät käytännöt?
Digikyvykkyys

ICT-konsultoinnin tekijänoikeus – tunnetko yleisimmät käytännöt?

Kun yritys ostaa ICT-konsultointia, konsulttiraportteja ja dokumentteja ICT-firmalta, optimistinen ostaja voi odottaa saavansa automaattisesti myös tekijänoikeuden ja muut immateriaalioikeudet hintaviin konsultointihankintoihinsa. Suomessa ICT-alan käytäntö on kuitenkin usein toinen. Pääsääntöisesti konsultointi- ja asiantuntijapalveluja myyvät konsultit pitävät omistusoikeuden tuotoksiinsa itsellään ja asiakas saa vain rajoitetun käyttöoikeuden hänelle luovutettuun dokumentaatioon.

lakimies Kari Keturi, Law Office Dancon Oy
Digikyvykkyys
Viimeiset metrit ennen maaliviivaa – GDPR4CHLDRN-projektitiimin tiukka loppukiri kohti tavoitteita
Digikyvykkyys

Viimeiset metrit ennen maaliviivaa – GDPR4CHLDRN-projektitiimin tiukka loppukiri kohti tavoitteita

Tietosuoja haltuun harrastustoiminnassa – GDPR4CHLDRN -projektille asetettiin suunnitteluvaiheessa valtavat tavoitteet, joiden eteen projektitiimi on näiden kuluneiden kuukausien aikana tehnyt parhaansa. Mitä tästä nyt sitten jäi käteen ja miten tästä eteenpäin? Mitä projektipäällikön mielessä liikkuu nyt, kun maaliviiva on saavutettu?

Nora Musto